none
2008.05.08發現隨身碟、記憶卡的惡意執行軟體 RRS feed

  • 一般討論

  •  

    各位朋友請注意,這兩天發現有一種新惡意執行程式,由於掃毒軟體幾乎無法發現,在這邊,告訴各位朋友並希望如果有發現的解決方式。

    由於現今隨身碟、記憶卡活動流行,因此以往隨身碟、記憶卡常伴隨W32Trojan系列的蠕蟲病毒(尤其是越南,幾乎只要記憶卡經過他們手機店的電腦,每個都中毒),這一種還好,只要是他人的隨身碟,插入USB後不要先開啟而先掃描刪除它就解決了,但是現在這個就糟糕了,因為它,掃毒軟體根本無法發現,這兩天為了這個弄得快無力了,整天系統重灌,還以為是硬體有問題。

     

    如何判定這類有問題的隨身碟,記憶卡?

    當隨身碟、記憶卡插入電腦後,電腦讀取後一般會顯示:Media Play播放、檢視圖片、開啟資料夾、加快我的開機速度(Vista)等,這是正常的。但是如果插入後,那個跳出來顯示除了有[開啟資料夾][加快我的開機速度(Vista)]外,最上面還有一個[執行.exe][Setup.exe][Run.exe][*.exe],請不要開啟,到[我的電腦],看到那個隨身磁碟,指著它按滑鼠右鍵,如果在選單中有[自動執行]的項目,下面還有一個很奇怪的執行選單,例如我碰到的[Quet vi rut cung bach khoa AntiVirus](還有其他亂碼的),保證這個隨身碟、卡中獎了。

     

    影響範圍:Windows 2000,Windows Xp , Windows Vista

    會在執行那個exe檔後,串改Win32\Sistem?.exe的資料,Windows XP,2000Regedit控制權被鎖定,重開後電腦無法登入(要重灌)Windows Vista由於核心無法竄改,中了後重開登入無法顯示視窗作業,只要再重開按F8,選[修復我的電腦],將系統還原到前面一點的時間就OK了。還有一項特點,當系統是Administrator當使用者,中獎後按[Ctrl]+[Alt]+[Del]時,[啟動工作管理員]居然不見了,重開就發生前述的症狀。

     

    預防方法:

    1、他人的磁碟插入電腦,請不要有任何動作,先檢視是否有我說的那的*.exe出現,然後按取消。

    2、先進入[我的電腦],先掃描那個磁碟是否有已知的病毒蠕蟲。

    3、指著那個磁碟按滑鼠右鍵,看看是不是有前述的奇怪選單。

     

    解決方法:

    1、確定有這種情形,要開啟該磁碟,請指著該磁碟按滑鼠右鍵,選擇[開啟],千萬不要用滑鼠左鍵點兩下[會執行]

    2、在該磁碟下面的壓縮檔、安裝程式、Office紋建檔等,只要是可以執行或開啟的檔案千萬不要開啟。

    3、在視窗選單…[工具]\[資料夾選項]\[檢視]下面的[隱藏檔案和資料夾],點選[顯示所有檔案和資料夾],按[確定]後,將該磁碟裡面的檔案拷貝到系統硬碟的一個資料夾裡(隱藏檔不要)

    4、Format…格式化那個磁碟(如果那個磁碟的資料不要,就直接格式化,上面123的步驟省略)

     

    結論:

    這個東西很狡滑,除了系統主要磁區外,會感染隨身碟、記憶卡、外接式硬碟與延伸磁碟區,然後長駐在該磁碟保留的緩充記憶磁區裡,你是找不到他的檔案的,當你開啟顯示隱藏檔案與資料夾,會發現有*.xml或者是Filelist*.*的隱藏檔,當使用者不知情點兩下滑鼠左鍵就直接執行病毒檔,但是如果是用按滑鼠右鍵選擇[開啟][檔案管理員]進入這個磁碟,只要執行到這磁碟裡面一切的*.exe , *.com,Office文件檔,rarzip壓縮檔等,它還是會跟著執行病毒程式執行破壞指令,但是如果是進入磁碟進行複製檔案的行為,就沒有觸犯的它的啟動執行,也因此這個磁碟如果資料重要是還有救的,最終,在防毒軟體還沒有出現解決方法之前,格式化這個隨身碟、記憶卡或者是延伸磁碟是唯一的辦法。

     

    2008/5/8在磁碟中找到批次檔

    deltmp.bat

    @echo off

    Color 0a

    Echo  ============================

    Echo *xiajisoft.com*

    Echo *Wanguoj@163.com*

    Echo ============================

    Echo (亂碼)

    Del /f /s /q %systemdrive%\*.tmp

    Del /f /s /q %systemdrive%\*._mp

    Del /f /s /q %systemdrive%\*.gid

    Del /f /s /q %systemdrive%\*.chk

    Del /f /s /q %systemdrive%\*.old

    Del /f /s /q %systemdrive%\recycled\*.*

    Del /s /q Windir%\temp & md %windir%\temp

    Del /f /q %suserprofile%\recent\*.*

    Del /f /s /q %suserprofile%\Local Settings\Temporary Internet Files\*.*

    Del /f /s /q %suserprofile%\Local Settings\Temp\*.*

    Del /f /s /q %suserprofile%\recent\*.*

    @exit

     

    wgi.bat

    @echo off

    Color 0a

    Echo  ============================

    Echo *xiajisoft.com*

    Echo *Wanguoj@163.com*

    Echo ============================

    Echo (亂碼)

    Echo (亂碼)

    Echo (亂碼)

    Del c:\*.vbs /f /s /aH

    Del c:\*.reg /f /s /aH

    Del d:\*.vbs /f /s /aH

    Del d:\*.reg /f /s /aH

    Del e:\*.vbs /f /s /aH

    Del e:\*.reg /f /s /aH

    Del f:\*.vbs /f /s /aH

    Del f:\*.reg /f /s /aH

    @exit

     

    原來是這樣子,難怪掃毒程式掃不到,因為它也是執行程式,只是隱藏在緩衝記憶磁區哩,不過這個樣子的話,XP與2000作業系統將是受害最深的。

    2008年5月8日 上午 06:01

所有回覆